La firme de Mountain View vient de mettre Chrome à jour. Cette mise à jour, entièrement dédiée à la sécurité, corrige sept failles de sécurité dont deux zero day.
Google Chrome vient d’être mis à jour. Le navigateur Web de Google est passé en version 123.0.6312.86 sur Windows et Linux, et en version 123.0.6312.87 sur macOS. Cette mise à jour vient corriger sept failles de sécurité, dont deux failles zero day ayant été exploitées durant l’événement Pwn2Own de Vancouver.
Ce rendez-vous regroupe tous les ans la crème des chercheurs en sécurité du monde dans une compétition au cours de laquelle ils s’affrontent pour tenter de trouver une brèche logicielle et à l’exploiter pour hacker un ordinateur.
Deux brèches d’importance dans Chrome et Edge
La première faille zero day, répertoriée sous la référence CVE-2024-2887, a été mise à jour par Manfred Paul. Il s’agit d’une faille de confusion de type de haute importance dans le standard ouvert WebAssembly (Wasm). Ce format d’instructions binaires est utilisé par les développeurs pour compiler le code source de leur site web dans un format optimisé pour le navigateur Web et qui offre de meilleures performances. Concrètement, exploitée par des hackers, cette faille permettrait d’exécuter du code arbitraire sur la machine ciblée.
La seconde faille zero day corrigée par cette mise à jour, identifiée sous la référence CVE-2024-2886, a été découverte par Seunghyun Lee, un chercheur en sécurité officiant au KAIST Hacking Lab’s. Il s’agit d’une brèche est de type « utilisation après libération » (use after free en anglais) dans l’API WebCodecs. Cette API est utilisée par les sites Web pour encoder et décoder des contenus audio et vidéo. Si elle était exploitée, cette faille zero permettrait aux attaquants d’exécuter du code arbitraire à distance.
Ces deux failles zero day ciblent non seulement Chrome, mais aussi Microsoft Edge, et sans doute l’ensemble des navigateurs basés sur Chromium.
Firefox aussi touché par deux failles zero day
Chrome et Edge ne sont pas les seuls navigateurs Web à avoir eu deux failles zero day exploitées lors de l’événement Pwn2Own. Mozilla Firefox a, lui aussi, eu droit à ses deux failles zero day. La Fondation Mozilla n’a d’ailleurs pas tardé à corriger le tir puisque Firefox a été mis à jour dès le lendemain de la découverte de ces deux brèches avec les correctifs de sécurité adéquats.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Bleeping Computer